Cercetătorii de la Qualys au descoperit o vulnerabilitate de securitate în programul Sudo care poate fi exploatată pentru a obține acces root pe computerele Linux!
În ciuda faptului că zeci de mii de colaboratori studiază în mod activ codul sursă al Linux-ului kernel și diverse utilitare Unix care caută defecte de securitate, nu este nemaivăzut ca erori serioase să dispară neobservat. Cu doar o zi în urmă, cei de la Qualys au dezvăluit un nou vector de atac de depășire a buffer-ului bazat pe heap, care vizează programul „Sudo” pentru a obține acces root. De data aceasta eroarea pare a fi destul de gravă, iar eroarea a existat în baza de cod de aproape 10 ani! Deși vulnerabilitatea de escaladare a privilegiilor a fost deja corectată, ar putea fi exploatată aproape fiecare distribuție Linux și mai multe sisteme de operare asemănătoare Unix.
Intră baronul Samedit
Catalogat oficial ca CVE-2021-3156, vulnerabilitatea a fost numită baronul Samedit. Porecla pare să fie un joc baronul Samedi si
sudoedit utilitate, deoarece acesta din urmă este utilizat într-una dintre căile de exploatare. Prin exploatarea acestei vulnerabilități, orice utilizator local neprivilegiat poate avea privilegii de root nelimitate pe gazda vulnerabilă. În termeni mai tehnici, eroarea implică controlul dimensiunii buffer-ului „user_args” (care este destinat potrivirii sudoers și logging) pentru a efectua depășirea tamponului și a elimina incorect backslash-urile din argumente pentru a obține root privilegii.
[EMBED_VIMEO] https://vimeo.com/504872555[/EMBED_VIMEO]
De ce Baron Samedit este o vulnerabilitate critică
Codul exploatabil poate fi urmărită din iulie 2011, care afectează toate versiunile vechi de Sudo de la 1.8.2 la 1.8.31p2 și toate versiunile stabile de la 1.9.0 la 1.9.5p1 în configurația lor implicită. Se spune că vulnerabilitatea de securitate este destul de banală de exploatat: utilizatorul local nu trebuie să fie un utilizator privilegiat sau să facă parte din lista sudoers. Ca rezultat, orice dispozitiv care rulează chiar și o distribuție Linux destul de modernă poate cădea victima acestui bug. De fapt, cercetătorii de la Qualys au reușit să obțină privilegii complete de root pe Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) și Fedora 33 (Sudo 1.9.2).
Noi, cei de la XDA, salutăm în general posibilitatea ca utilizatorii obișnuiți să obțină acces root, dar nu sărbătorim existența de exploatări rădăcină ca aceasta, în special una care este atât de răspândită și potențial incredibil de periculoasă pentru utilizatori finali. Vulnerabilitatea a fost remediată în sudo versiunea 1.9.5p2 lansat ieri, în același timp, Qualys și-a dezvăluit public constatările. Cititorii noștri sunt rugați să facă imediat upgrade la sudo 1.9.5p2 sau o versiune ulterioară cât mai curând posibil.
Cum să verificați dacă sunteți afectat de Baron Samedit
În cazul în care doriți să testați dacă mediul dvs. Linux este vulnerabil sau nu, conectați-vă la sistem ca utilizator non-root și apoi executați următoarea comandă:
sudoedit -s /Un sistem vulnerabil ar trebui să răspundă cu o eroare care începe cu sudoedit:. Cu toate acestea, dacă sistemul este deja corecţionat, va afișa o eroare care începe cu usage:.
Sursă: Blogul Qualys
Prin intermediul: Bleeping Computer